Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/07/2018
Las vulnerabilidades identificadas podrían permitir a un atacante leer ficheros arbitrarios, cancelar trabajos e incluso llevar ataques de Cross-site scripting reflejado y almacenado.
Una de las más importantes que se ha corregido es la que podría permitir a usuarios no autenticados utilizar credenciales de acceso manipuladas, provocando que Jenkins mueva el fichero config.xml. Este fichero contiene las configuraciones básicas incluyendo las de seguridad y acceso, por lo que si Jenkins arranca sin este fichero en su ubicación común, la configuración se reestablecería por defecto otorgando permisos de administrador a usuarios anónimos.
Sistemas Afectados:None
Solución: